Es indispensable desarrollar robots que permitan no solo hacer las preguntas iniciales y filtrar candidatos, sino que con la información de IMSS y CURP puedan identificar en línea: ubicación geográfica para determinar tiempos de traslado, procesos penales, accediendo a las bases de datos del Poder Judicial, posibles demandas laborales a través del Buro Laboral, y salarios y permanencia en trabajos previos vía el IMSS. Esta información permite comprobar la veracidad de la información que proporciona cada candidato y evitar riesgos por antecedentes legales.
Como puede observarse en el cuadro 1, una vez superados estos filtros deben realizarse pruebas de acuerdo al riesgo potencial del manejo de información del puesto específico, desde pruebas de comportamiento y axiológicas hasta pruebas de polígrafo de iris para valorar la honestidad.
Todos estos factores, en conjunto con un estricto protocolo de vigilancia y consecuencias provocan, como ya se mencionó, que individuos que buscan delinquir prefieran abortar el proceso y moverse a otros centros con menor grado de protección y por tanto de riesgo
2. Acciones en tiempo real apoyados en la combinación de robots con el command center
Ante la gran mayoría de las contingencias, un plan tradicional de recuperación de desastres (DRP), en el que los sistemas se encuentren interconectados en alta disponibilidad, resuelve buena parte de los problemas si estos se encuentran a una distancia considerable (de preferencia mayor a 100 km uno del otro). Sin embargo, no podemos descartar que la contingencia sea nacional o global, o que pueda durar más de lo previsto para mantener solo el centro de respaldo.
Dado lo anterior, para poder garantizar una continuidad operativa real se deberían cumplir las siguientes condiciones:
a. La implementación de robots que escuchan total o parcialmente las conversaciones en línea y que, al identificar palabras prohibidas como fecha de vencimiento o de nacimiento, direcciones de correo electrónico, claves o contraseñas, alerta al command center, donde se escuchan las llamadas y se procede con los reportes a seguridad.
b. El command center, al estar conectado en línea con la totalidad de los operadores para medir su desempeño, puede programarse para ubicar comportamientos anormales en la operación de los agentes. Por ejemplo, si en algún caso los AHT (tiempo promedio de llamada) consistentemente son más altos que los que marca el script, existe la posibilidad de estar duplicando el requerimiento de información y puede investigarse.
3. Speech y text analytics en apoyo a la seguridad
Ya sea en tiempo real o al final de cada jornada, de acuerdo con la criticidad de la información, los sistemas de speech y text analytics son capaces de escuchar miles de llamadas o analizar miles de piezas de texto en minutos, con el objetivo de encontrar conversaciones comprometedoras fuera de los scripts. Esta información, al quedar grabada, no solo permite tomar acciones antes de que el problema crezca, sino que proporciona evidencia para los procesos laborales y penales, cuya posibilidad, como parte del sistema de consecuencias, inhibe al resto de los operadores ante la tentación de realizar prácticas indebidas.
Además de las medidas recomendadas por los certificadores (cuadro 2 en negro) se requieren acciones adicionales (marcadas en azul). Es recomendable que independientemente de que las políticas de seguridad estén por escrito de acuerdo a las normas, se cree un comité de seguridad que administre auditorías internas y externas, programadas de manera anual.
La seguridad física de la certificación debe ser complementada con arcos detectores de metales y policías con garrets para revisión 1 a 1, a fin de evitar el acceso de personal con celulares o cualquier otro medio de grabación. Se debe contar, además, con sistemas de circuito cerrado que garanticen el cumplimento de la norma de escritorios limpios de cualquier papel o medio de almacenamiento.
Como puede apreciarse en el cuadro, se requiere de plataformas que cubran todo el entorno de la organización y sus puntos de contacto con el exterior, así como herramientas de monitoreo que permitan detectar de manera inmediata de cualquier contaminación, ataque o comportamiento anormal de accesos para garantizar a los centros de contacto la seguridad ante amenazas externas y con ello la protección a sus clientes.
Este entorno de seguridad, para ser efectivo, debe extenderse a todo cliente y proveedor con el cual tiene comunicación el centro de contacto
Conclusiones
La participación de grupos organizados en el creciente robo de información, con el consecuente impacto en los fraudes cibernéticos, las finanzas y en imagen de las organizaciones, obliga a los centros de contacto internos y externos a realizar fuertes inversiones en tecnología y procesos para minimizar estos riesgos.
Las certificaciones mundiales son un gran paso en este sentido, sin embargo resultan insuficientes ante la magnitud del problema. Es imposible garantizar la seguridad si no se cuenta con un proceso automatizado de selección de candidatos que apoye la contratación de gente integra y honesta. Sin robots que escuchen o plataformas que analicen miles de conversaciones online u offline, los sistemas de tokenizado e IVR transaccionales son insuficientes para detectar malas prácticas de los agentes.
Las normas que marcan las certificaciones PCI-DSS e ISO 27000 son importantes, pero deben complementarse con infraestructura y procesos adicionales para funcionar correctamente.
La seguridad interna debe apalancarse en sistemas de protección y monitoreo que blinden al centro de ataques o robos del exterior y estas medidas deben de abarcar a cualquier participante externo al proceso que garantice una solución integral.
La seguridad implica inversiones de tiempo y dinero, pero ante el efecto que implica un fraude, el uso indebido de información o los ataques a las organizaciones, esta inversión interna o selección del proveedor es incuestionable.